 |
| Fuente de la imagen: Pasando el puente con Administrativo (M- Velasco, 2020) |
Resumen: La tecnología está transformando la operatividad de las Administraciones Públicas (AA.PP.) y su interacción con la ciudadanía, buscando optimizar tiempos, facilitar la accesibilidad, simplificar trámites y reducir costes. No obstante, el tratamiento de datos personales por parte de las AA.PP. mediante el uso de tecnologías emergentes conlleva un riesgo específico. El objetivo de este análisis es destacar aspectos característicos del empleo de estas tecnologías en los tratamientos realizados por las AA.PP. desde la perspectiva de la protección de datos y señalar los riesgos inherentes a su uso.
Palabras Clave: RGPD, administraciones públicas, eAdministración, Administración Digital, riesgos, protección de datos, privacidad, Big data, blockchain, cookies, inteligencia artificial, redes sociales, smart cities, tecnología.
Summary: Technology is transforming the operations of Public Administrations (PAs) and their interaction with citizens, seeking to optimize time, facilitate accessibility, simplify procedures, and reduce costs. However, the processing of personal data by PAs through the use of emerging technologies entails specific risks. The objective of this analysis is to highlight characteristic aspects of the use of these technologies in processing carried out by PAs from a data protection perspective and to point out the risks inherent in their use.
Keywords: GDPR, public administrations, eGovernment, Digital Administration, risks, data protection, privacy, Big Data, blockchain, cookies, artificial intelligence, social networks, smart cities, technology.
I. Introducción
La tecnología moderna facilita la gestión de tareas complejas y rápidas, pero cuando se interpreta incorrectamente, puede resultar una amenaza para los derechos y libertades. El uso de las Tecnologías de la Información y Comunicaciones (TIC) en el sector público, conocido como Administración Digital, permite la implementación de servicios internos y externos que, en muchos casos, implican tratamientos de datos personales. Estos servicios aportan beneficios como eficacia, eficiencia, disponibilidad, interoperabilidad y racionalización de recursos.
Los gestores públicos responsables de estos tratamientos tienen la obligación de cumplir con la normativa de protección de datos (principalmente el Reglamento Europeo de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), aplicando medidas técnicas y organizativas para garantizar los derechos ciudadanos, la transparencia y el principio de responsabilidad proactiva.
El RGPD y la LOPDGDD reconocen que la introducción de tecnologías innovadoras o no maduras puede incrementar el riesgo para los derechos y libertades de los interesados, lo cual debe ser evaluado. La gestión del riesgo forma parte de la obligación de cumplimiento normativo del responsable del tratamiento. Los tratamientos en las AA.PP. implican riesgos particulares frente a otros responsables, derivados del volumen de sujetos afectados, la extensión de los datos, la imposibilidad de oponerse al tratamiento en muchos casos, y la asimetría de poder inherente entre la Administración y los ciudadanos.
El análisis integral del riesgo debe contemplar que, incluso con un cumplimiento formal de la normativa, el contexto y alcance del tratamiento pueden introducir incertidumbre sobre su necesidad y proporcionalidad.
II. Análisis de Tecnologías y Riesgos en las AA.PP.
El documento de la Agencia Española de Protección de Datos (AEPD) analiza una serie de tecnologías que se incorporan a las AA.PP. como soporte de tratamientos de datos personales, limitándose a aquellas de uso más extenso o con mayor potencial de implantación.
2.1. Cookies y Tecnologías de Seguimiento
Las cookies y tecnologías de seguimiento (como el fingerprint o huella digital del dispositivo) permiten almacenar y recuperar información del dispositivo del usuario para perfilar a las personas e identificarlas.
• Riesgos: El riesgo principal es la recopilación de información personal más allá de lo necesario para el propósito del tratamiento, incluyendo categorías especiales de datos. Tecnologías como Cookie Syncing o CNAME Cloaking pueden disfrazar cookies de terceros como de primera parte, eludiendo controles de seguimiento. Las AA.PP. deben auditar si los gestores de contenidos o aplicaciones móviles utilizan cookies no necesarias y deben tomar precauciones análogas con los SDKs de terceros para evitar tratamientos no legítimos.
2.2. Redes Sociales
Las redes sociales son canales utilizados por las AA.PP. para ofrecer servicios e información. El entorno de la red social no está pensado inicialmente para el uso administrativo.
• Riesgos: Un riesgo importante es la posibilidad de errores en la aplicación de políticas de comunicación que revelen datos personales de administrados o empleados (como la publicación de metadatos o CSVs). Si la AA.PP. ofrece un servicio únicamente a través de una red social, el consentimiento del administrado podría no considerarse libre debido al desequilibrio existente, lo cual es un obstáculo para aquellos afectados por la brecha digital. El rol de la AA.PP. y la red social puede convertirse en corresponsable si la Administración no es diligente en limitar el tratamiento de datos personales por parte de la red social.
2.3. Cloud Computing o Computación en la Nube
La nube permite a las AA.PP. utilizar servidores remotos de forma flexible y transparente, externalizando la infraestructura (IaaS), plataforma (PaaS) o software (SaaS).
• Riesgos: La virtualización y deslocalización de datos no están exentas de riesgos para la seguridad y la protección de datos personales. Los riesgos clave incluyen la privacidad de la información almacenada, la continuidad de los servicios, y la pérdida de control de la infraestructura. Es necesariol que el responsable del tratamiento (la AA.PP.) seleccione un proveedor que ofrezca garantías suficientes y que el contrato detalle la ubicación física de los servidores, especialmente si están fuera del territorio nacional, para asegurar garantías equivalentes. El responsable es siempre quien define la política de control de accesos y gestiona la seguridad, no solamente el proveedor.
2.4. Big Data o Tratamiento Masivo de Datos
El Big Data implica el tratamiento de grandes conjuntos de datos caracterizados por su volumen, variedad, velocidad y/o variabilidad. Permite obtener información en tiempo real a partir del cruce de distintas fuentes.
• Riesgos: El tratamiento masivo de datos de carácter personal es uno de los supuestos para los que el RGPD exige una Evaluación de Impacto relativa a la Protección de Datos (EIPD). Los riesgos se centran en la re-identificación de individuos, la vinculabilidad de diferentes registros y la inferencia de información personal más crítica a partir de cuasi-identificadores. En la fase de adquisición, análisis y validación de datos, deben aplicarse técnicas de minimización, anonimización o seudonimización. Es importante analizar que la finalidad posterior del tratamiento no sea incompatible con la inicial, atendiendo a la relación, expectativas de los interesados, naturaleza de los datos y las medidas de protección adoptadas.
2.5. Inteligencia Artificial (IA)
La IA se refiere a sistemas capaces de aprender y resolver problemas, mostrando un comportamiento inteligente. Su aplicación permite automatizar tareas complejas o repetitivas.
• Riesgos: Los sistemas basados en IA pueden operar como una 'caja negra', donde la explicación de las decisiones tomadas no es transparente, afectando a la coherencia, precisión o sesgos introducidos. El riesgo de sesgos, inexactitudes o errores en los datos de entrenamiento puede llevar al sistema a decisiones injustas o discriminatorias. El RGPD limita que los interesados sean sometidos a decisiones exclusivamente automatizadas que les afecten significativamente. Es recomendable la supervisión humana cualificada en tratamientos basados en IA, permitiendo que un operador pueda ignorar el algoritmo en un momento dado para mitigar el riesgo de decisiones incorrectas.
2.6. Blockchain y Tecnologías de Registro Distribuido (DLT)
El blockchain es un tipo de Tecnología de Registro Distribuido (DLT) donde los participantes comparten un registro descentralizado e inmutable a través de bloques enlazados criptográficamente.
• Riesgos: Las características de transparencia e inmutabilidad inherentes a blockchain entran en conflicto directo con derechos clave del RGPD, como el Derecho al Olvido (supresión) y el principio de limitación del plazo de conservación. Además, la naturaleza descentralizada dificulta la clara identificación del responsable o responsables del tratamiento. Es necesario evaluar la compatibilidad de la solución DLT con el RGPD y considerar estrategias como el almacenamiento off-chain de los datos personales.
2.7. Smart Cities o Ciudades Inteligentes
Las Smart Cities integran diversas tecnologías (como Big Data e IoT) mediante sensores para optimizar la gestión urbana y la eficiencia de los servicios (transporte, residuos, energía).
• Riesgos: La gran acumulación, frecuencia y extensión de los datos recogidos en proyectos Smart City incrementan el riesgo inherente para la protección de datos. Existe un riesgo de reidentificación de personas a partir de la combinación y enriquecimiento de datos, incluso si son inicialmente anonimizados. Un análisis de proporcionalidad y necesidad es necesaria para asegurar que no se identifique a los ciudadanos si no es necesario para la finalidad del tratamiento (ej., predecir picos de tráfico). Los fallos de seguridad en la infraestructura de sensores y actuadores masivos suponen un riesgo de filtrado masivo o monitorización no autorizada de personas singulares.
III. Conclusiones
La transformación digital en las AA.PP. es esencial para mejorar la eficiencia del servicio público. Sin embargo, el tratamiento de datos personales en este ámbito se caracteriza por un riesgo derivado del volumen de sujetos afectados, la extensión de los datos y la asimetría de poder.
Es necesario que los responsables de los tratamientos en las AA.PP. realicen un ejercicio reflexivo sobre la idoneidad, necesidad y proporcionalidad del empleo de nuevas soluciones tecnológicas. El cumplimiento normativo requiere un enfoque proactivo y una gestión continua del riesgo. La adopción de criterios de transparencia, proporcionalidad, minimización y limitación del tratamiento son factores clave para garantizar y promover la confianza de los ciudadanos en los servicios públicos.
IV. Referencias
AEPD. Tecnologías y Protección de Datos en las AA.PP. (Noviembre de 2020).
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (LSSI).
AEPD. Guía de protección de datos por diseño (Octubre 2020).
AEPD. Guía práctica de análisis de riesgos para el tratamiento de datos personales (Febrero 2018).
AEPD. Guía sobre el uso de las cookies (Julio 2020).
AEPD. Adecuación al RGPD de los tratamientos que incorporan Inteligencia Artificial. Una introducción (Febrero 2020).
